Web安全之攻击防范
不会察觉。但在黑客对漏洞敏锐的发现和充分的利用下,网站存在的这些漏洞就被挖掘出来了,且成为黑客们直接或间接获取利益的机会。
第二,网站防御措施过于落后
大多数传统的基于特征识别的入侵防御技术或内容过滤技术,对保护网站抵御黑客攻击的效果不佳。比如对SQL注入、跨站脚本这种特征不唯一的网站攻击,基于特征匹配技术防御攻击,不能精确阻断攻击。
大量黑客通过构建任意表达式来绕过防御设备固化的特征库。比如:and 1=1和and 2=2是一类数据库语句,但可以人为地任意构造数字构成同类语句的不同特征。而and、=等这些标识在Web提交数据库应用中又是普遍存在的表达符号,不能作为攻击的唯一特征。因此,这就很难基于特征标识来构建一个精确阻断SQL注入攻击的防御系统。这也导致目前有很多黑客将SQL注入成为入侵网站的首选攻击技术之一。基于应用层构建的攻击,防火墙更是束手无策。
第三,黑客入侵后未被及时发现
一些黑客在获取网站的控制权限之后并不暴露自己,而是利用所控制网站产生直接利益。
网页挂马就是一种利用网站,将浏览网站的人种植其木马的一种非常隐蔽且直接获取利益的主要方式之一。访问网站而被种植木马的人通常并不知情,导致一些用户的机密信息被窃取。网站成了黑客散布木马的一个渠道。网站本身虽然能够提供正常服务,但访问网站的人却遭受着木马程序的危害。
第四,发现安全问题不能彻底解决
网站技术发展较快、安全问题日益突出,但由于关注重点不同,绝大多数的网站开发与设计公司对网站安全代码设计方面了解甚少。 即使发现网站安全存在问题和漏洞,其修补方式也只是停留在页面修复,很难针对网站具体的漏洞原理对源代码进行改造。这些也是为什么有些网站虽然安装了网页防篡改、网站恢复软件后仍然遭受攻击的原因。
第二,网站防御措施过于落后
大多数传统的基于特征识别的入侵防御技术或内容过滤技术,对保护网站抵御黑客攻击的效果不佳。比如对SQL注入、跨站脚本这种特征不唯一的网站攻击,基于特征匹配技术防御攻击,不能精确阻断攻击。
大量黑客通过构建任意表达式来绕过防御设备固化的特征库。比如:and 1=1和and 2=2是一类数据库语句,但可以人为地任意构造数字构成同类语句的不同特征。而and、=等这些标识在Web提交数据库应用中又是普遍存在的表达符号,不能作为攻击的唯一特征。因此,这就很难基于特征标识来构建一个精确阻断SQL注入攻击的防御系统。这也导致目前有很多黑客将SQL注入成为入侵网站的首选攻击技术之一。基于应用层构建的攻击,防火墙更是束手无策。
第三,黑客入侵后未被及时发现
一些黑客在获取网站的控制权限之后并不暴露自己,而是利用所控制网站产生直接利益。
网页挂马就是一种利用网站,将浏览网站的人种植其木马的一种非常隐蔽且直接获取利益的主要方式之一。访问网站而被种植木马的人通常并不知情,导致一些用户的机密信息被窃取。网站成了黑客散布木马的一个渠道。网站本身虽然能够提供正常服务,但访问网站的人却遭受着木马程序的危害。
第四,发现安全问题不能彻底解决
网站技术发展较快、安全问题日益突出,但由于关注重点不同,绝大多数的网站开发与设计公司对网站安全代码设计方面了解甚少。 即使发现网站安全存在问题和漏洞,其修补方式也只是停留在页面修复,很难针对网站具体的漏洞原理对源代码进行改造。这些也是为什么有些网站虽然安装了网页防篡改、网站恢复软件后仍然遭受攻击的原因。
碰撞与变迁
鉴于上述对Web业务系统常见攻击的分析,对Web业务系统的保护已经刻不容缓。安全学术界和产业界的研究机构和各大厂商也纷纷拿出了识别和防御的措施及技术方案,力求为Web业务系统提供深层的安全防御。
但遗憾的是,由于Web威胁的迅猛发展,仅借助硬件、操作系统、服务、应用程序提供商提供没有漏洞的系统,显然是不够的。因此,需要在网络边界和服务器前增加安全控制设备,或者在服务器系统上部署软件来防御各种攻击。
据孙大军介绍,目前防御Web威胁的主要挑战在于各种新的攻击方式不断出现,而传统的针对W
上一篇:
下一篇:
下一篇:
 |
|
|
 |
 |
|
 |
|
|